如何安全地实现自动登录

我读过很多，很多，很多关于如何“你可能会存储密码错”的帖子。他们总是指在用户登录的服务器上存储密码。他们基本上会重新编码（确保使用双关语）无处不在的建议，例如确保对密码加盐等。但是，我从未见过有关在客户端上存储密码的最佳实践的文章，这样客户端不必登录每次他们要登录时手动进行；“记住我”功能。

从浏览器到诸如Dropbox之类的程序，许多软件都具有此功能。

我最近确实读过一篇老文章，内容涉及Dropbox如何在您的计算机上存储ID，您可以将其复制/粘贴到另一台计算机上，然后启动Dropbox并以从中获得ID的设备身份登录。没有登录，什么都没有，并且对Dropbox帐户具有完全访问权限。这似乎是一个非常愚蠢的设计，但是我想不出任何更好的方法来做到这一点。

我什至不知道如何避免以纯文本形式存储像cookie之类的东西。如果您对其进行加密，那么将密钥存储在何处？

我认为不引入安全漏洞的唯一方法是删除自动登录功能，并让用户每次想要使用服务时都输入密码，但这是在可用性方面的努力，并且用户不愿意这样做而被宠坏了。

关于安全地本地存储凭据以实现自动登录功能，我可以读到什么？如果原则对于整篇文章来说太简单了，那是什么？有问题的软件不应依赖于并非所有平台都具有的功能（例如某些Linux发行版具有的“钥匙串”）。

一种方法是：

• 用户登录时，将会话ID存储在客户端计算机上的cookie中（而不是用户名或密码）。
• 将会话绑定到IP地址，因此单个会话ID仅适用于启动该会话的计算机。

根据您用于开发网站的框架的不同，此行为可能作为内置功能提供。

请注意，由于HTTP协议无论如何都是无状态的，因此，在某人使用网站的一次会话中保持某人登录与他们下次使用该网站时“自动登录”之间，实际上并没有功能上的区别。这完全取决于您在会话期满之前允许多少时间。

更新：另外，显然，请使用HTTPS来提高安全性。

更新2：请注意，这种方法有局限性，因为它对于大量更改其IP地址的用户来说效果不佳。但是，它确实提供了更高级别的安全性，并且在某些情况下可能很有用。

亚马逊（和许多其他公司）使用混合方法。他们提供了用于登录的自动登录，将商品添加到购物车以及使用您之前使用过的信用关怀/收货地址组合下订单。但是，它们要求您输入密码才能执行许多操作，例如添加信用卡，添加/更改收货地址，更新密码，查看过往订单（对用户而言可选）以及许多其他帐户设置。

是的，可以访问您计算机的人可以劫持您的会话，但是您仍然可以得到他们所订购的东西！（更重要的是，劫持会话的动机几乎被否定了。）但是，如果有人可以访问我的计算机，那么与窃取平均站点会话的用户相比，我面临的问题更大。

如果您的应用程序中某些部分不需要很高的安全性，则可以选择一种混合模型，在该模型中存储会话ID（哈希或任意一种），以自动将用户登录到网站的低安全性部分，但要求他们在进入更高安全性区域时输入密码，并在会话结束时删除高安全性令牌。

当然，如果这是银行级别的网站，则不能选择自动登录。同样，使用这些类型的安全性的站点将假定它们所保护的数据的价值，并且为用户带来的额外便利权衡了会话被劫持的潜在风险。如果您觉得应用程序不是这种情况，请不要实施自动登录。您需要访问适合您的用例的安全/可用性级别的权衡。

实际上并不难。首先使用以下格式存储Cookie：

userID.token

您可以将sha1哈希用于令牌。然后在您的Remember_me_tokens数据库表中存储userID，令牌的bcrypt哈希值和令牌的生成时间。

然后，当有人访问您的网站时，请检查Cookie是否已设置。如果设置了cookie，则说最近7天内数据库中是否有有效的行。如果数据库中存在cookie的有效行，则将会话设置为指示用户已登录，并删除匹配的cookie /数据库行，并生成新的cookie /令牌/数据库行。

如果他们注销，则删除cookie。

运行cron作业以修剪7天之前的Remember_me_token。

仅当您信任存储设备的设备时，才可以。用户的安全性（取决于您是否可以影响设备）取决于用户。它完全不在您手中。

如评论中所述：

这与您的信任有关。如果您不信任机器存储的ID，那就是您的问题。如果您信任钥匙串，那么您将获得最大的安全性。当然，您可以添加一些自定义安全性，例如检测设备硬件之类的东西，但是它们都是可伪造的，因此最终无法知道。这是您无法控制的。